Starke Malware-infizierte Regierungen in Russland, Iran und Rwanada blieben fünf Jahre lang versteckt - Rechnen - 2019

Anonim

Ein hochentwickeltes Stück Malware infizierte Regierungscomputer in Russland, dem Iran und Ruanda und entging fünf Jahre lang der Entdeckung. Die Malware, die von Kaspersky "ProjectSauron" und von Symantec "Remsec" genannt wird, ist seit 2011 oder länger aktiv und infiziert Computer auf den Computern von Regierungsstellen, Militäroperationen, Forschungseinrichtungen, Banken und Telekommunikationsunternehmen.

Die Malware nutzte alle möglichen Tricks, um im Verborgenen zu bleiben, indem sie hauptsächlich im Systemspeicher lebte. Aber ein großer Teil des Erfolgs von ProjectSauron, berichtet Ars Technica, ist die Fähigkeit des Virus, Muster zu vermeiden.

"Die Angreifer verstehen eindeutig, dass wir als Forscher immer nach Mustern suchen", sagte ein Kaspersky-Bericht. "Entfernen Sie die Muster und die Operation wird schwieriger zu entdecken sein. Wir sind uns bewusst, dass mehr als 30 Organisationen angegriffen wurden, aber wir sind sicher, dass dies nur eine winzige Spitze des Eisbergs ist. "

Diese Mustervermeidung ist entscheidend für den Erfolg der Malware und auch ausgesprochen beeindruckend. Zum Beispiel: Ausführbare Dateien haben unterschiedliche Namen auf verschiedenen Rechnern, die alle harmlos aussehen. Hier einige Beispiel-Dateinamen aus dem Kaspersky-Bericht:

Hersteller, der ähnliche Dateinamen verwendetVerschleierter Name der Malware
Kaspersky Labkavupdate.exe, kavupd.exe
SymantecSsaWrapper.exe, symnet32.dll
MicrosoftKB2931368.exe
Hewlett Packardhptcpprnt.dll
VmWareVMwareToolsUpgr32.exe

Wie Sie sehen können, nahm die Malware scheinbar alltägliche Dateinamen an, die Benutzer nicht fehl am Platz finden würden.

Aber die Dinge werden noch verrückter. Diese Malware hatte ein Plugin-System, was bedeutet, dass benutzerdefinierter Lua-Code konfiguriert werden konnte, um Daten von bestimmten Maschinen zu erhalten. Es gibt 50 verschiedene Arten von Plugin möglich.

Die Malware kann Computer auf verschiedene Arten infizieren. Selbst wenn ein Ziel Luftspalt ist, kann die Malware auf USB-Sticks springen.

Informationen können auch auf verschiedene Arten von Zielen gewonnen werden, von denen einige ziemlich neuartig sind. Zum Beispiel: Die Malware hat gezeigt, dass sie Metadaten über DNS sendet.

Was ist der Sinn von all dem? Nach Angaben von Kaspersky ist die Malware "dafür ausgelegt, bestimmte Funktionen wie das Stehlen von Dokumenten, das Aufzeichnen von Tastenanschlägen und das Entführen von Verschlüsselungsschlüsseln von infizierten Computern und angeschlossenen USB-Sticks auszuführen".

Was nicht bekannt ist, ist wer diese Malware gemacht hat. Die Kultiviertheit schlägt einen staatlichen Sponsor vor, aber nichts kann an dieser Stelle sicher gesagt werden. Wir werden genau zusehen, wie Sicherheitsforscher mehr lernen.